Dialog Results . Page 2 of 3 




ES 2037260 


T3 


J| JG07F-007/10 


Based on patent EP 3 1 1470 


FI 97170 


B 


|| ||G07F-007/10 


Previous Publ. patent FI 8804082 


KR 9608209 


Bl 


|| ||G06K-019/06 




JP 2000358027 


A 


|| 14 ||H04L-009/32 


Div ex application JP 88224363 


JP 31581 18 


B2 


|| 14 ||G09C-001/00 


Previous Publ. patent JP 1 133092 



Abstract: 
EP 3 11470 A 



The bank card draws at random an element (r) between 1 and N-l in the ring of module N and gives 
it T 128 bits of the public power of this element. The verifier draws at random an exponent (D) 
between zero and p-1 and transmits it to the card. The card then calculates the product (t) in the ring 
of the element (r) and the accreditation (B) raised to the power of the exponent (D). 

The verifier calculates in the ring the product of t raised to the power (p) and the hidden identify (J) 
raised to the power of the exponent (D). The proof is accepted if all the public bits of T are recovered 
so that the authenticity of the bank card is admitted. 

ADVANTAGE - Single processing only is required. 

10/10 

EP 311470 B 

Method of authentication of an accreditation with nil contribution to recognition, a) this accreditation 
having been derived by a method of the public-key type comprising the following operations: - an 
authority which is entitled to deliver accreditations chooses two prime numbers, forms the product N 
of these two numbers, keeps these numbers secret, chooses an integer p and publishes N and p; - for 
each holder to an accreditation, a numerical identity I is constituted, then completed by redundancy in 
order to form a word J called protected identity, - an accreditation A is derived by the authority by 
taking the pth root of the protected identity in the ring of integers modulo N (A = Jl/p mod N), - in an 
appropriate medium containing a memory, the authority loads the modulo N inverse of the 
accreditation A i.e. a number B called inverse accreditation (Bp J mod N = 1), this number B 
constituting the accreditation which it is a question of authenticating, b) the authentication of the 
accreditation thus derived, consisting in a probabilistic and interactive numerical process of the type 
with nil contribution to recognition taking place between a medium containing an accreditation, 
called "the verified subject", and an authentication member called "the verifier", this process 
comprising at least one numerical processing constituted by the following known operations: - the 
verified subject first of all draws at random an integer r belonging to the ring of integers modulo N, - 
the verified subject raises this integer r to the power p modulo N, the result being called title T, - the 
verified subject then delivers at least some of the bits of the title T, - the verifier next draws at 
random a number D and asks the verified subject to effect certain operations on r and on the inverse 
accreditation B, these operations being linked to the number D drawn at random by the verifier and 
the operations being effected in the ring of integers modulo N, - the verified subject delivers to the 
verifier a number t, called witness, which is the result of these operations, - the verifier in turn effects 
operations concerning the witness t delivered by the verified subject and the protected identity J of 
the verified subject, these operations being themselves linked to the number D drawn at random by 
the verifier and being effected in the ring of integers modulo N, - the verifier compares the result thus 
obtained with the bits of the title T which the verified subject has delivered at the start of the 
verification process and admits the authenticity of the accreditation if it finds these bits again, this 
method being characterised in that: a) during the derivation of the accreditation (B) the number p 
serving to extract the pth root from the protected identity (J) is chosen to be large and 
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The system for the authentication of an accreditation information A with zero knowledge proof has 
an authority issuing the accreditation chooses two prime factors which forms the product N of these 
two factors, keeps secret these factors, chooses an integer p that comprises at least ten bit positions 
and publishes N and p. For the holder of the accreditation, a digital identity is formed, and 
supplemented by redundancy in order to form a shaded identity word J. Accreditation information A 
is formulated by the authority by taking the p-th root of the shaded identity J in the ring of integers 
modula N. A memory stores inverse information modulo N of the accreditation information B which 
is to be authentication. A processor executes the authentication operation using a single layer 
interactive and probabilistic digital process of the zero knowledge proof type. It includes a 
communication device for communicating between a medium containing the memory called "the 
verified" and an element called "the verifier". 
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@ Proced6s et systemes d'authentification d'accreditations ou de messages a apport nul de connaissance et de signature 


de messages. 




(i?) Procedes et systemes d'authentification d'accreditation 


J=Red(I) B P .J mod N=1 


ou de messages, et de signature de messages. 





Au lieu d'utiliser des accreditations multiples et un processus 
iteratif de verification, on utilise une accreditation profonde 
(exposant p eleve) et on tire au hasard un nombre D compris 
entre 0 et p-1. Les operations de verification passent par le 
calcul de la puissance D ieme de ('accreditation inverse B. 

Application notamment aux cartes a puce et plus speciale- 
ment aux cartes bancaires. 




t p .B D mod tth 
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Description 

PROCEDES ET SYSTEM ES D'AUTHENTIFICATION D'ACCREDITATIONS OU DE MESSAGES A APPORT NUL DE 

CONNAISSANCE ET DE SIGNATURE DE MESSAGES 



La presente invention a pour objet des procedes 
et des systemes d'authentification d'accreditations 
ou de messages a apport nul de connaissance et un 
procede de signature de messages. 

L'invention trouve de nombreuses applications 
dans la verification de ('authenticity de cartes 
bancaires dites "a puces" ou plus generalement de 
1'authenticite de tout support permettant a son 
detenteur de commander un acces, (a un local, a un 
coffre, a une banque de donnees, a un systeme 
informatise, a une ligne telephonique, etc.). Elle 
s'applique egalement a la verification de I'authenti- 
cite de messages de toute nature, ces messages 
pouvant commander une ouverture ou une ferme- 
ture, I'enclenchement ou I'arret d'un systeme, la 
commande de la mise a feu d'un engin, la commande 
d'un satellite, le declenchernent d'une alerte etc... 
Enfin, ('invention permet de signer des messages de 
telle maniere que leurs destinataires soient assures 
de leur provenance, et puissent a leur tour convain- 
cre un tiers sur cette provenance. 

L'invention s'appuye sur deux branches de la 
cryptographie qui sont respectivement la cryptogra- 
phie a cle revelee (ou a cle publique) et les 
procedures de verification a apport nul de connais- 
sance. Bien que l'invention ne concerne pas un 
procede de chiffrement, il n'est pas inutile de 
rappeler en quoi consistent ces deux techniques. 

De tout temps le maintien du secret des communi- 
cations a ete une preoccupation. Aujourd'hui que les 
systemes de telecommunications proliferent, il est 
devenu un probleme majeur. De ce fait, les techni- 
ques de chiffrement et de dechiffrement ont pro- 
gresse considerablement ces dernieres annees. Ce 
progres a d'ailleurs ete encore accelere par I'avene- 
ment des calculateurs, qui ont permis d'elaborer des 
cryptosystemes a hautes performances. 

Dans un cryptosysteme, un message M, dit 
message en cfair, est transforme a I'aide d'une cle E, 
pour donner un message E(M) dit message chiffre. 
A la cle E correspond une cle inverse D qui permet 
de retrouver le message en clair par une transforma- 
tion inverse : D(E(M)) = M. 

Dans les techniques traditionnelles les deux cles 
E et D sont tenues secretes et ne sont connues que 
des seuls interlocuteurs. 

Cependant, un cryptosysteme original a ete 
developpe ces dernieres annees, dans lequel la cle 
de chiffrement n'est plus tenue secrete mais est, au 
contraire, revelee. Paradoxalement, cette revelation 
n'affaiblit en rien la securite du systeme. En effet, il 
se trouve que le chiffrement utilise une fonction telle 
que la connaissance de la cle E ne permet pas, dans 
la pratique, de retrouver la cle D de dechiffrement. 
On parle alors, de maniere imagee, d'une fonction 
"trappe" pour la fonction de chiffrement, fonction qui 
est particulierement difficile a inverser, sauf pour 
celui qui connait la valeur de la trappe. 

Les principes generaux de ces systemes ont ete 
decrits dans Particle de W. DIFFIE et M. HELLMANN 



intitule "New Directions in Cryptography" pubiie 
5 dans IEEE, Transactions ou Information Theory, vol. 
IT-22, pp 644-654, Nov. 1976. 

On peut aussi consulter a ce sujet I'article de M. 
HELLMAN intitule 'The Mathematics of Public-Key 
Cryptography" pubiie dans Scientific American 

10 d'Aout 1979, voi.241, n°2, pp 130-139 ou sa 
traduction francaise dans Tedition de "Pour la 
Science" sous le titre "Les Mathematiques de la 
Cryptographie a cief revelee", Octobre 1979, vol. 
n°24, pp 114-123. 

15 Les principes theohques de la cryptographie a 

cle revelee ont pu etre mis en application de maniere 
particulierement efficace dans un systeme dit RSA 
(des initiaies de ses inventeurs Ronald RIVEST - Adi 
SHAMIR et Leonard ADLEMAN). Ce systeme est 

20 decrit dans I'article de Martin GARDNER intitule "A 
new kind of cipher that would take millions of year to 
break" pubiie dans Scientific American, Aout 1977, 
pp. 120-121. Dans le systeme RSA la fonction trappe 
est la factorisation d'un nombre en elements 

25 premiers. On sait que Toperation de factorisation est 
Tune des plus difficiles de I'arithmetique. Par 
exemple pour trouver, a la main, les facteurs 
premiers d'un nombre modeste a 5 chiffres comme 
29 083, il faut quelques minutes. Ces nombres sont 

30 127 et 229. Mais I'obtention du produit de 127 par 
229 ne prend que quelques secondes. L'asymetrie 
d'une telle operation est done flagrante. Naturelle- 
ment, le recours a un ordinateur accelere la 
factorisation mais il demeure que, pour factoriser un 

35 nombre de deux cents chiffres, meme en mettant 
ensemble les ordinateurs les plus puissants ordina- 
teurs. 

En pratique done, on ne sait pas factoriser un tres 
grand nombre. 

40 Ces proprietes sont exploitees dans le systeme 

RSA de la maniere suivante. On choisit deux 
nombres premiers distincts, soit a et b, et on en 
forme le produit, soit N — a.b. On choisit egalement 
un entier p, qui est premier avec le plus petit 

45 commun multiple de (a-1) et (b-1). Pour chiffrer un 
message, prealablement mis sous forme numerique 
M, M etant compris entre 0 et N-1, on calcule la 
puissance pieme de M dans I'anneau des entiers 
modulo N, soit C = M P mod N. (On rappelle que la 

50 valeur d'un entier x modulo un entier y est egale un 
reste de la division de x par y ; ainsi, 27 modulo 1 1 
est egal a 5, car 27 divise par 11 donne 5 comme 
reste). La fonction "elever a la puissance p modulo 
N" definit alors une permutation des entiers de 0 a 

55 N-1 . 

Pour dechiffrer un message tel que C il faut 
extraire la racine pieme du message chiffre C dans 
I'anneau des entiers modulo N. On montre que cette 
operation revient a elever le nombre C a la puissance 
60 d, d etant ('inverse de I'exposant p modulo le pius 
petit commun multiple des nombres (a-1) et (b-1). Si 
Ton ne connait pas les facteurs premiers a et b, la 
determination de d est impossible et avec elle, 
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Toperation de dechiffrement. 

Par exemple, en choisissant A = 47 et b = 59, on 
obtient N = 47.59 = 2773. On peut prendre p = 17. La 
cle de codage est done def inie par les deux nombres 
2773 et 17 (naturellement, dans la pratique, les 
nombres utilises sont beaucoup plus grands que 
dans cet exemple). 

Le codage d'un mot M se presentant sous forme 
du nombre 920 s'effectue par I'operation suivante : 
c = 920 17 mod 2773 
soit C = 948 mod 2773. 

Inversement, pour dechiffrer le nombre 948, on 
utilisera un exposant d inverse de 17 modulo 1334 
qui est le ppcm de 46 et 58. Cet exposant d est 157 
car 157.17 = 2669 soit 1 modulo 1334. Dechiffrer 948 
revient done a calculer 948 1 57 mod 2773 soit 920, ce 
qui est bien le message initial. 

Ainsi, dans le systeme RSA, les nombres N et p 
peuvent ils etre publics (on parle alors de la 
"puissance publique p"), mais les nombres a et b 
doivent rester secrets. 

Naturellement il est toujours possible d'utiliser 
plus de deux facteurs premiers pour constituer le 
nombre N. 

Le systeme RSA est decrit dans le brevet des 
Etats-Unis d'Amerique N° 4,405,829 delivre le 20 
Septembre 1983. 

Un tel systeme peut non seulement servir a 
chiffrer mais aussi a signer un message. 

Dans le contexte de la signature de messages une 
entite censee emettre des messages M, entite 
appelee signataire, est reputee travailler avec une 
cle publique (N, p). Cette entite, pour signer ses 
messages avant emission, y ajoute une redondance 
pour obtenir un element de I'anneau des entiers 
modulo N, puis eleve cet element a la puissance d 
(inverse de p) modulo N. L'entite en question, 
detenant les parametres secrets de la cle publique, 
e'est-a-dire les deux facteurs premiers a et b, 
connait d. Le message signe est done 
S=[Red(M)] d mod N. 

Pour verifier !a signature, le destinataire du 
message utilise la cle publique {N, p) attachee a 
l'entite emettrice et calcule S p mod N, ce qui, par 
hypothese redonne ('element codant le message M 
avec sa redondance. En retrouvant la redondance le 
destinataire en conclut ainsi que le message n'a pu 
etre envoye que par l'entite qui pretend I'avoir fait, 
puisque seule, celle-ci, etait capable de traiter le 
message de cette maniere. 

Naturellement, les deux operations de chiffrement 
et de signature peuvent se combiner. Dans ce cas, 
Temetteur commence par signer son message en 
utilisant sa cle secrete ; puis il le chiffre en utilisant la 
cle publique de son correspondant. A la reception, le 
correspondant dechiffre le message a I'aide de sa 
cle secrete, puis authentifie le message en utilisant 
le cle publique de I'emetteur. 

Ces techniques de cryptographie conduisent ainsi 
a des methodes d'authentification (d'un support, 
d'un message, etc.). Pour exposer plus en detail 
cet aspect, qui est au coeur de I'invention, on 
prendra comme exemple I'authentification des 
cartes bancaires dites "a puce", sans que cela 
constitue naturellement en quoi que ce soit une 



limitation de la portee de ('invention. Le procede 
decrit ci-apres est utilise dans les cartes bancaires 
a puce emises aujourd'hui en France et en Norvege, 
la generalisation des puces dans les cartes ban- 
5 caires est en cours dans ces deux pays. 

Une carte bancaire a puce possede une identite, 
qui est constitute par un enchaTnement d'informa- 
tions telles que le numero de serie de la puce, le 
numero du compte bancaire, une periode de validite 

10 et un code d'usage. La carte peut donner, sur 
demande, ces informations d'identite, qui se presen- 
ted sous forme d'une suite de bits formant un mot I. 

A I'aide de regies de redondance, on peut 
constituer un nombre J deux fois plus long que I 

15 qu'on notera par la suite Red(l) = J. Par exemple, si 
le nombre I s'ecrit sous forme de quartets, chaque 
quartet peut etre complete par un quartet de 
redondance de maniere a former autant d'octets de 
type a codage de HAMMING. Le nombre J est 

20 appele souvent I'identite "ombragee" (I'ombre etant 
constitute en quelque sorte par la redondance qui 
accompagne I'identite). 

L'Organisation Internationale de Normalisation 
(ISO) a precise ces questions dans la note ISO/ 

25 TC97/SC20/N207 intitulee "Digital Signature with 
Shadow" devenue avant projet de norme DP9796. 

L'autorite habilitee a delivrer de telles cartes, en 
Toccurrence la banque, choisit un systeme a cle 
publique (N, p). Elle publie les nombres N et p mais 

30 garde secrete la factorisation de N. . L'identite 
ombragee J de chaque carte est alors consideree 
comme un element de I'anneau des entiers modulo 
N. La banque peut en extraire la racine p ieme dans 
cet anneau (ce qui, comme expose plus haut, 

35 necessite la connaissance des facteurs premiers de 
N, ce qui est le cas). Ce nombre, note par la suite A, 
est en quelle que sorte I'identite de la carte signee 
par la banque. On I'appelle "accreditation". On a 
done par definition A = J 1/p mod N. 

40 Authentifier une accreditation revient alors a lire 
I'identite de la carte, soit sous la forme simple I, soit 
sous la forme ombragee J, puis a lire ('accreditation 
A dans la carte, a elever celle-ci a la puissance p 
dans I'anneau des entiers modulo N (ce qui est 

45 possible puisque les parametres N et p sont connus) 
et a comparer enftn le resultat, soit A p mod N, a J. Si 
A p mod N est egal a J alors ('accreditation A est 
authentique. 

Si cette methode permet de detecter des fausses 

50 cartes dont les identites auraient ete elaborees de 
maniere fantaisiste, elle presente neanmoins un 
inconvenient qui est celui de reveler Taccreditation 
des cartes authentiques. Un verificateur peu scrupu- 
leux pourrait done reproduire des cartes identiques 

55 a celle qu'il vient de verifier (cartes que Ton pourrait 
appeler des "clones") en reproduisant ('accredita- 
tion qu'il a lue dans la carte authentique. 

Or, Tauthentification d'une accreditation ne re- 
quiert pas, en toute rigueur, la communication de 

60 celle-ci au verificateur, mais seulement I'etablisse- 
ment d'une conviction que la carte dispose d'une 
accreditation authentique. Le probleme est done 
finalement de demontrer que la carte detient une 
accreditation authentique, sans reveler celle-ci. 

65 Ce probleme, qui semble insoluble a premiere 
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vue, peut cependant etre resolu par une procedure 
dite de preuve par apport nul de connaissance 
("zero-knowledge proof"). Dans une teile procedure, 
I'entite qui tente d'apporter la preuve (et que Ton 
appellera par la suite le "verifie") et I'entite qui attend 
cette preuve (et qu'on appellera le "verificateur") 
adoptent un comportement interactif et probabiliste. 

Cette technique a ete decrite par Shafi GOLD- 
- WASSER, Silvio MICALI et Charles BACKOFF dans 
leur communication au n 17th ACM Symposium on 
Theory of Computing" qui s'est tenu en Mai 1985, 
communication intitulee "The Knowledge Complexi- 
ty of Interactive Proof Systems" et publiee dans les 
Comptes Rendus pp.291 -304. Les premiers exem- 
ples ont ete trouves en theorie des graphes. 

Adi SHAMIR a pense le premier a utiliser ce 
procede en theorie des nombres et on pourrait 
I'appliquer aux cartes a puces de la maniere 
suivante. Ce procede, que Ton appellera par la suite 
procede S, est le suivant. 

Au debut de la transaction d'authentification, la 
carte proclame son identite I. Les regies de 
redondance connues de tous, permettent de de- 
duire J, deux fois plus long que I, qui correspond a 
l'identite ombragee. La carte et le verificateur 
connaissent tous deux les nombres N et p publies 
par I'emetteur de cartes, mats seul ce dernier 
dispose de la factorisation du nombre N, qui est 
reformation de trappe utilisee pour calculer les 
accreditations. 

La transaction d'authentification se poursuit en 
repetant le traitement suivant : 

- la carte tire au hasard un element r de I'anneau des 
entiers modulo N, en calcule la puissance p ieme (r p 
mod N) dans i'anneau, et transmet cette puissance 
au verificateur en guise de titre T pour iteration ; 

- le verificateur tire au hasard un bit d (0 ou 1 ) (ou si 
I'on veut, tire a pile ou face) pour demander a la carte 
en guise de temoin t : pour pile I'element r, et pour 
face le produit de I'element r par I'accredition dans 
I'anneau (r.A mod N) ; autrement dit, dans Tincerti- 
tude du tirage le verifie doit tenir disponible r et r.A 
mod N ce qui implique la connaissance de A ; 

- le verificateur eleve le temoin t a la puissance p 
modulo N pour retrouver : pour pile, le test T, et pour 
face ie produit dans I'anneau du titre T par I'identite 
ombragee J. 

Ainsi, d'une part, il taut disposer de ('accreditation 
A pour posseder simultanement les deux valeurs 
possibles du temoin t, soit r et rA. D'autre part, le 
verifie ne peut deduire de cette transaction la valeur 
A de I'accreditation car, meme s'il demande au 
verifie de lui fournir rA, il ne connaTt pas r, qui a ete 
tire au hasard par le verifie (le verificateur connaTt 
bien r p , fourni comme titre par le verifie, mats il est 
incapable d'en extraire la racine p ieme modulo N, 
puisqu'il ne connait pas la factorisation de N). 

Le verifie qui ne serait pas detenteur d'une 
accreditation authentique pourrait bluffer en tentant 
de deviner le tirage du verificateur. S'il parie sur "0" 
("pile") il estime que le verificateur elevera le titre a la 
puissance p modulo N et que le verificateur 
comparera le resultat obtenu au titre T. Pour 
convaincre le verificateur, le verifie devra fournir 
comme titre T le temoin eleve a la puissance p. Si le 




11 470 A1 6 

bluffeur parie au contraire sur "1" ("face") il estime 
que le verificateur elevera le titre a la puissance p et 
multipliera ensuite le resultat obtenu par J. II lui faut 
done, pour convaincre, transmettre comme titre T, le 

5 temoin eleve a la puissance p multiplie par J. 

Autrement dit, le verifie a une chance sur deux de 
donner une bonne reponse s'il renverse la chronolo- 
gie des evenements, e'est-a-dire s'il determine non 
pas d'abord le titre T puis le temoin t t mais s'il parie 

10 sur le tirage du verificateur et s'il constitue le titre a 
posteriori a ('aide d'un temoin tire au hasard. 

Dans ce processus probabiliste, les chances du 
verifie de deviner la bonne reponse sont de une sur 
deux a chaque traitement, de sorte qu'en repetant 

15 ce traitement k fois, les chances du bluffeur tombent 
a 1/2 k . Le facteur de securite de ce procede 
d'authentification est done de 2 k . En pratique, k est 
de I'ordre de 16 a 24. 

Dans un tel procede le nombre p est petit, par 

20 exemple 3. On peut aussi utiliser 2, mais dans ce cas 
certaines precautions doivent etre prises dans te 
choix des facteurs premiers du nombre N pour que 
la fonction "elever au carre modulo N" soit une 
permutation sur les residus quadratiques de I'an- 

25 neau des entiers modulo N. Les nombres a et b 
doivent etre des entiers de la forme 4x + 3 ; on 
rappelle que les residus quadratiques sont des 
elements qui sont des carres dans I'anneau et 
I'identite ombragee J doit pouvoir etre modifiee en 

30 un residu quadratique representatif avant de calculer 
I'accreditation. Cette solution est decrite dans le 
document deja cite ISO/TC97/SC20/N207. D'autres 
solutions existent cependant. 

L'entier N, comme dans les cartes bancaires 

35 aujourd'hui, peut etre de la forme N = K + 2 320 ou K 
est un entier de 240 bits publie et connu de tous les 
terminaux. Seul i'emetteur de cartes dispose de la 
factorisation de N. II est tout de meme conseille de 
prendre des nombres composes plus grand. 

40 L'identite I, comme dans les cartes bancaires 
aujourd'hui, peut etre un motif de 160 bits, obtenu 
par le chainage d'un numero de serie de ta puce de 
44 bits, d'un numero de compte bancaire de 76 bits, 
d'un code d'usage de 8 bits et d'une periode de 

45 validtte de 32 bits. L'identite ombragee presente 
alors 320 bits. L'accreditation est alors la racine 
cubique de ce mot, modulo N. C'est un nombre de 
320 bits. 

Un perfectionnement de cette technique consiste 

50 a utiliser non pas I'accreditation elle-meme A 
(A p mod N=J) mais son inverse, note B. On a alors 
B P J mod N = 1 ce qui permet de simplifier la 
comparaison du titre et du temoin. En effet, il suffit 
alors de transmettre un temoin egal a r(dB-d-t-t) 

55 (qui est egal soit a r si d = 0 soit a rB si d = 1 et de 
calculer t p (dJ-d + 1 ) mod N pour trouver le titre T. Ce 
dernier peut alors n'etre transmis que partiellement, 
par exemple sous forme d'une centaine de ses bits 
ou encore mieux apres une compression par une 

60 fonction a sens unique. 

On rappelle qu'une fonction de compression fait 
correspondre a un ensemble de n elements un 
ensemble de m autres elements, m etant inferieur a 
n et tel qu'il sont pratiquement impossible de 

65 localiser deux elements ayant meme image. 



4 



7 EP 0 311 470 A1 



8 



La figure 1 annexee a la description illustre ce 
procede. Les fleches allant de gauche a droite 
represented une transmission du verifies vers le 
verificateur (identite I, titre T, temoin t) et les fleches 
allant de droite a gauche une transmission dans le 
sens inverse (bit d tire au hasard). Un tirage au 
hasard est represents par un cercle associe a un 
point d'interrogation. Le signe e signifie "appartient 
a" et les nombres entre accolades designent 
('ensemble des entiers compris entre les deux 
bornes indiquees, bornes comprises. La comparai- 
son finale decidant de r authenticate de I'accredita- 
tion est schematisee par un signe egal surmonte 
d'un point d'interrogation. Le tirete marque un 
ensemble d'operations effectuees k fois (iteration). 

II a ete propose recemment un procede encore 
plus perfectionne, qui utilise des accreditations 
multiples. Ce procede a ete decrit dans la communi- 
cation de Amos FIAT et Adi SHAMIR, publiee dans le 
Compte Rendu de CRYPTO' 86, Santa Barbara, CA, 
USA, August 1986, communication intitulee : "How 
to Prove Yourself : Practical Solutions to Identifica- 
tion and Signature Problems", Springer Verlag, 
lecture Notes in Computer Science, N°263, 
pp. 186-1 94. 

En notant dans la carte plusieurs accreditations, 
on augmente I'efficacite du traitement, et on reduit le 
nombre d'iterations necessaires pour atteindre un 
niveau donne de securite vis-a-vis de la chance 
laissee au bluffeur. Dans cette methode de diversifi- 
cation, on produit n identites diversifiees 11 , In qui, 
completees par leurs ombres, donnent n identites 
diversifiees ombragees J1, ... t Jn. La carte contient 

les n accreditations inverses B1 Bn qui verifient 

les relations Ji.Bi p mod N = 1. 

Dans ce procede, que Ton notera FS, chaque 
traitement ou iteration devient alors le suivant (en 
prenant 2 pour exposant public) : 

- la carte tire au hasard un element r dans I'anneau 
des entiers modulo N, puis transmet au verificateur 
128 bits du carre de cet element en guide de titre T ; 

- le verificateur tire au hasard un mot de n bits soit 
b1, .... bn, qu'il transmet a la carte ; 

- la carte calcule alors le produit de ('element r par 
les accreditations inverses designees par les bits a 

"1" dans le mots de n bits b1 bn. Et la carte 

transmet en guise de temoin la valeur t ainsi 
obtenue : 

t = r.(b1.B1-b1 +1) (bn.Bn-bn + 1) mod N 

- le verificateur teste ce temoin t en relevant au 
carre dans I'anneau, puis en muttipliant ce carre par 
les identites ombragees diversifiees designees par 
les bits a M 1" du mot de n bits, 

soit : tf\(b1.J1-b1 + 1) (bn.Jn-bn + 1) mod N 

L'authenticite est prouvee si Ton retrouve les bits 
publies du titre T. 

N'importe qui pourrait tirer au hasard un temoin t, 
puis, dans I'anneau, elever au carre ce titre et 
multiplier par une selection d'identites diversifiees 
pour constituer apres coup un titre T. En effet, en 
donnant ce titre au debut du traitement, si la 
question posee est bien la selection escomptee, 
alors le temoin t est une reponse acceptable qui 
authentifie la carte. 

II y a done bien une stategie gagnante pour le 



devin qui connaTt a I'avance le tirage du verificateur. 

Pour passer avec succes une iteration, le bluffeur 
doit, cette fois, deviner un mot de n bits et non plus 
un seul bit comme dans le procede GMR. Si les 2 n 
5 valeurs sont equiprobables, le produit de la multipli- 
city des accreditations (n) par le nombre des 
iterations (k) reduit exponentiellement les chances 
laissees au bluffeur. Le facteur de securite de la 
transaction d'authentification est alors 2 kn . 

10 A chaque iteration, le verifie transmet par exemple 
128 bits (par exemple un quart des 512 bits) et un 
element de I'anneau, et le verificateur transmet n 
bits. A chaque iteration, le verificateur et la carte 
calculent un carre et font un nombre de multiplica- 

15 tions egal au nombre de bits a "1" dans le mot de n 
bits (poids de HAMMING). 

Comme autre compromis entre efficacite de 
i'iteration et nombre maximum de multiplications a 
effectuer durant I'iteration on peut limiter le nombre 

20 de bits a 1 dans le mot de n bits. 

On pourra consulter a propos de cette technique, 
le compte rendu de la communication de Amos FIAT 
et Adi SHAMIR au "5e Congres Mondial de la 
Protection et de la Securite Informatique et des 

25 Communications" qui s'est tenu a Paris les 4-6 Mars 
1987 sous le titre "Unforgeable Proofs of Identity". 

La figure 2 annexee illustre schematiquement ce 
procede FS, avec les memes conventions que pour 
la figure 1. 

30 Ces procedes d'authentification d'accreditation 
peuvent se transposer aisement a ('authentication 
d'un message emis par une entite censee etre 
accreditee. Dans ce cas, le titre T transmis par le 
verifie n'est plus forme untquement par r p mod N, 

35 comme dans le cas precedent, mais aussi par le 
message m a authentifier. Plus precisement, le 
resultat par une fonction de compression, notee f, 
dont les arguments sont m et r p mod N. 

Les figures 3 et 4 schematised ces procedes 

40 dans le cas des techniques S et FS. 

enfin, ces techniques peuvent egalement servir a 
signer un message. La fonction de compression 
joue alors le role assigne au tirage du verificateur. 
Plus precisement, dans le procede de type S, le 

45 signataire tire k elements r dans I'anneau des entiers 
modulo N, soit R1, R2, ... f rk, qui vont jouer le role 
des differents r tires au cours des k iterations. Le 
signataire eleve ces entiers au carre mod N et 
calcule la fonction de compression f(m, r 2 mod N, ... 

50 rk 2 mod N) ce qui fournit un nombre D ayant pour 
bits d1, d2, dk. Chaque bit di de ce nombre joue le 
role que jouait le bit tire au hasard dans te procede 
d'authentification d'accreditation decrit plus haut. Le 
signataire forme alors k titres ti=*riB di mod N, avec 

55 i= 1,2...k. Le message signe est alors constitue par 

un multiplet forme par m, I, d1 dk, t1 , .... tk. 

Pour verifier un tel message signe on eleve au 
carre les titres ti modulo N et on multiplie chaque 
carre par J di modulo N. On calcule ensuite la fonction 

60 de compression f (m, T1 2 J dl mod N tk 2 J dk mod N) 

et Ton compare le resultat obtenu avec le nombre D, 
soit avec les bits d1, d2, dk. 

Dans Tapplication a la signature de messages, le 
nombre k est plus grand que dans Tauthentification. 

65 II est de Tordre de 60 a 80. En effet, la verification ne 
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s'effectue plus en temps reel et le fraudeur a done 
tout son temps pour elaborer une fausse signature. 

Les figures 5 et 6 schematisent ce procede dans 
le cas des techniques S et FS, Si toutes ces 
techniques de Tart anterieur conviennent bien en 
theorie, elles presentent cependant des inconve- 
nients du point de vue pratique. En particulier, la 
methode FS t avec la multiplicity de ses accredita- 
tions, consomme un espace memoireJmportant. Par 
ailleurs, la necessite d'effectuer une repetition des 
traitements allonge la duree des echanges. Enfin, la 
multiplicity des temoins allonge les informations a 
ajouter a un message pour le signer. 

La presente invention a justement pour but de 
remedier a cet inconvenient. A cette fin elle 
preconise une technique utilisant une seule accredi- 
tation (et non plus des accreditations multiples) et 
un seul traitement (et non plus une repetition de 
traitements). 

De fapon plus precise, la presente invention a 
d'abord pour objets une procede d'authentification 
d'une accreditation et un procede d'authentification 
d'un message, procedes qui mettent tous deux en 
oeuvre, d'une part, ('elaboration d'une accreditation 
basee sur le systeme a cle publique et, d'autre part, 
une preuve a apport nul de connaissance ; 

a) pour ce qui est de ('operation d'elaboration 
de ('accreditation, elle comprend les operations 
connues suivantes : 

- une autorite habilitee a delivrer des accredita- 
tions choisit deux nombres premiers, forme le 
produit (N) de ces deux nombres, tient secrets 
ces nombres qui constituent alors les facteurs 
premiers de N, choisit un entier p et publie N et 

p; 

- pour chaque detenteur d'une accreditation, 
une identite numerique I est constitute, puis 
completee par redondance pour former un mot 
J appele identite ombragee, 

- une accreditation A est elaboree par i'autorite 
en prenant !a racine pieme de I'identite ombra- 
gee dans I'anneau des entiers modulo N, (A p 
mod N = J), 

- dans un support approprie contenant une 
memoire, I'autorite charge I'inverse modulo N 
de ('accreditation A, soit un nombre B appele 
accreditation inverse (B n J mod N = 1), ce 
nombre B constituant ('accreditation qu'il s'agit 
d'authentifier ; 

b) pour ce qui est de I'authentification de 
['accreditation ainsi elaboree, cette operation 
consiste, de maniere elle aussi connue, en un 
processus numerique interactif et probabiliste 
du type a apport nul de connaissance et 
s'etablissant entre un support contenant une 
accreditation, support appele "le verifie" et un 
organe d'authentification appele "le verifica- 
teur", ce processus comprenant au moins un 
traitement numerique constitue par ies opera- 
tions connues suivantes : 

- le verifie tire d'abord du hasard un entier r 
appartenant a I'anneau des entiers modulo N, 

- le verifie eleve cet entier r a la puissance p 
modulo N, le resultat etant appele titre T, 

- le verifie delivre alors au moins une partie des 



bits du titre T, 

- le verificateur tire ensuite au hasard un 
nombre D et demande au verifie d'effectuer 
certaines operations sur r et sur I'accreditation 

5 inverse B, ces operations etant liees au nombre 

D tire au hasard par le verificateur et effectuees 
dans I'anneau des entiers modulo N, 

- le verifie delivre au verificateur un nombre t, 
appele temoin, resultat de ces operations, 

10 - le verificateur effectue a son tour des 

operations portant sur le temoin t delivre par le 
verifie et sur I'identite ombragee J du verifie, 
operations liees elles aussi au nombre d tire au 
hasard par le verificateur et effectuees dans 

15 I'anneau des entiers modulo N, 

- le verificateur compare le resultat ainsi obtenu 
avec les bits du titre T que le verifie a delivre en 
debut de processus de verification, et admet 
('authenticity de I'accreditation s'il retrouve ces 

20 bits. 

Le procede d'authentification d'accreditation se- 
ton Tinvention est caracterise par le fait que : 

a) lors de 1'elaboration de ['accreditation (B) 
le nombre p servant a extraire la racine p ieme 

25 de I'identite ombragee (J) est choisi grand et 

comprend au moins une dizaine de bits, 

b) pour I'authentification de I'accreditation le 
processus ne comprend qu'un seul traitement 
interactif et probabiliste (et non une repetition 

30 d'un tel traitement), ce traitement unique 

consistant dans les operations suivantes : 

- le nombre que le verificateur tire au hasard est 
un entier D compris entre 0 et p-1 (bornes 
incluses), 

35 - I'operation que le verifie effectue pour delivrer 

un temoin t est le produit, dans I'anneau des 
entiers modulo N, de ('element r qu'il a lui meme 
tire au hasard, par la puissance Dieme de 
['accreditation inverse B, le titre etant alors 

40 t = r.B°modN, 

- les operations qu'effectue le verificateur sont 
le produit, dans I'anneau des entiers modulo N, 
de la puissance p ieme du temoin t par la 
puissance D ieme de I'identite ombragee J, soit 

45 tPJ D modN, 

- i'operation de comparaison effectuee par le 
verificateur porte alors sur les bits du titre T 
delivres par le verifie et sur les bits obtenus par 
I'operation precedente, I'authenticite de I'ac- 

50 creditation etant acquise en un seul traitement 

des lors que tous les bits du titre delivre par le 
verifie sont retrouves par le verificateur dans t p 
J° mod N. 

Pour ce qui est du procede d'authentification de 
55 message, le procede selon ('invention est caracte- 
rise par le fait que : 

a) lors de ('elaboration de I'accreditation du 
donneur d'ordre, le nombre p servant a extraire 
la racine p ieme de I'identite ombragee est 

60 choisi grand et comprend au moins une dizaine 

de bits, 

b) pour I'authentification du message, !e 
processus ne comprend qu'un seul traitement 
interactif et probabiliste (et non une repetition 

65 d'un tel traitement), ce traitement unique 
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consistant dans les operations suivantes : 

- le nombre que le verificateur tire au hasard est 
un entier D compris entre 0 et p-1 (bornes 
incluses), 

- I'operation que ie verifie effectue pour delivrer 
le temoin t est le produit, dans I'anneau des 
entiers modulo N, de I'element r qu'ii a lui meme 
tire, par la puissance Dieme de I'accreditation 
inverse B t le temoin etant alors r.B D mod N, 

- les operations qu'effectue le verificateur sont 
le produit, dans I'anneau des entiers modulo N, 
de la puissance p ieme du temoin t t par la 
puissance D ieme de I'identite ombragee J, 

- le verificateur forme la fonction de compres- 
sion du message et du resultat des operations 
precedentes soit f (m, t p J D mod N) , 

- la comparaison que le verificateur effectue 
porte alors sur la fonction de compression qu'il 
a obtenue et sur le titre T que le verifie lui a 
delivre en debut de processus de verification, 
I'authenticite du message etant acquise en un 
seul traitement des lors que, a la fin de ce 
traitement, il y a correspondace entre tous les 
bits de la fonction de compression obtenue par 
le verificateur et les bits du titre delivres par le 
verifie. 

L'invention a enfin pour objet un procede de 
signature de message. Dans ce cas I'accreditation 
du signataire est elaboree selon le procede connu a 
cle publique decrit plus haut et la signature consiste 
en un traitement numerique probabiliste connu 
comprenant les operations suivantes : 

- le signataire tire au hasards au moins un entier r 
appartenant a I'anneau des entiers modulo N, 

- le signataire eleve cet entier r a la puissance p 
modulo N, 

- le signataire calcule une fonction de compression f 
en prenant comme arguments le message m a 
signer et la puissance r D mod N obtenue, 

- le signataire forme au moins un temoin t en 
effectuant certaines operations sur r et sur ('accredi- 
tation inverse B, ces operations etant liees au 
nombre D tire au hasard et etant effectuees dans 
I'anneau des entiers modulo N, 

- le signataire transmet le message m, son identite I, 
le mot D, le ou les temoins t, I'ensemble constituant 
un message signe. 

Le procede de signature de message selon 
l'invention est caracterise par le fait que : 

a) lors de ('elaboration de I'accreditation du 
signataire le nombre p servant a extraire la 
racine p ieme de I'identite ombragee est choisi 
grand et comprend plusieurs dizaines de bits, 

b) pour I'operation de signature du mes- 
sage : 

- le signataire ne tire au hasard qu'un seul entier 
r appartenant a I'anneau des entiers modulo N, 

- la fonction de compression a pour arguments 
le message m et la puissance p ieme de r, ce qui 
fournit un nombre D, 

- le titre unique produit par le signataire est le 
produit, dans I'anneau des entiers modulo N, de 
rentier r par la puissance D ieme de I'accredita- 
tion inverse B, 

- le signataire fournit, avec le message m, son 



identite I, le mot D et le titre t. 
Dans les deux premiers procedes, le nombre p 
comprend au moins 10 bits et de preference entre 16 
et 24 bits. 

5 Dans le procede de signature le nombre p est plus 

grand et comprend plusieurs dizaines de bits, par 

exemple de 60 a 80 bits. 

La valeur de p est en effet le facteur de securite 

d'un traitement elementaire. Si p est convenable 
10 pour le but recherche alors qu'on ne dispose que 

d'une seule accreditation profonde, on peut se 

contenter d'un seul traitement. 

La presente invention a egalement pour objet des 

systemes qui mettent en oeuvre ces procedes. 
15 De toute facon l'invention sera mieux comprise a 

la lumiere de la description qui va suivre, qui se 

refere a des dessins annexes. Ces dessins com- 

prennent : 

- les figures 1 a 6, deja decrites, qui illustrent 
20 les procedes S et FS de Tart anterieur ; 

- la figure 7 illustre le procede d'authentifica- 
tion d'une accreditation selon l'invention ; 

- la figure 8 illustre le procede d'authentifica- 
tion de message selon ['invention ; 

25 - la figure 9 illustre le procede de signature de 

message selon l'invention ; 

- la figure 10 montre schematiquement un 
ensemble permettant de mettre en oeuvre les 
procedes de l'invention. 

30 Les conventions utilisees dans les figures 7 a 9 
sont les memes que celles des figures 1 a 6. Dans 
tous les cas ('accreditation est obtenue par I'utilisa- 
tion d'un nombre p qui est grand. Les inventeurs 
qualifient cette accreditation de "profonde" par 

35 opposition aux accreditations habituelles utilisees 
dans ce domaine pour lesquelles p etait de I'ordre 
de 2 ou 3 et qui sont, en quelque sorte "superfi- 
cielles". 

Dans le cas des cartes a puce on a done, dans le 
40 cas de l'invention, le traitement suivant : 

- la carte tire au hasard un element r (1 ^r^N-1) 
dans I'anneau des entiers modulo N, et donne en 
guise de titre T 128 bits de la puissance publique de 
cet element (r p mod N) ; 

45 - le verificateur tire au hasard un exposant DdeOa 
p-1 et le transmet a la carte ; 

- la carte calcule le temoin t qui est le produit (dans 
I'anneau) de I'element r par la puissance D i6me de 
I'accreditation B (t-r.B° mod N) ; 

50 - ie verificateur calcule dans I'anneau le produit de la 
puissance p ieme du temoin t par la puissance D 
ieme de I'identite ombragee J, soit t p J D mod N. 

La preuve est aceptee si tous les bits pubiies du 
titre T sont ainsi retrouves. 

55 N'importe qui ayant devine la question du verifica- 
teur (lexposant D) peut tirer au hasard un temoin t, 
puis faire a I'avance les calculs du verificateur, 
e'est-a-dire faire Ie produit dans I'anneau du temoin t 
a I'exposant p par I'identite ombragee J a I'exposant 

60 D. En donnant le titre T au debut de I'iteration, si la 
question posee est bien D, alors le temoin t est une 
reponse acceptable. 

Ce raisonnement indiquant une strategie ga- 
gnante pour le devin montre que Ton ne sait pas 

65 distinguer des donnees provenant de I'enregistre- 
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ment d'une transaction reussie et des donnees 
provenant d'une mascarade construite en inversant 
la chronologie de ^iteration, c'est-a-dire en choisis- 
sant les exposants avant les titres. Le verificateur 
recueille des informations impossibles a distinguer 
de cefles qu'il aurait pu produire tout seul, sans 
interaction avec le verifie, ce qui montre que 
('accreditation reste bien secrete dans la carte. 

Pour passer avec succes un traitement d'authen- 
tification, le bluffeur doit deviner un exposant D. Si 
les p valeurs de D sont equiprobables, la chance 
laissee au bluffeur est de 1/p. Le facteur de securite 
est done p. 

Dans un tel traitement le verifie transmet une 
centaine de bits en un element de I'anneau ; le 
verificateur transmet un exposant (D). Pour mener a 
bien un traitement le verifie calcule d'abord la 
puissance publique de I'element r tire au hasard, 
puis le produit de cet element r par la puissance D 
ieme de ('accreditation B. Le verificateur fait un peu 
moins de calcul pour retrouver le titre T car il peut 
combiner intelligemment les calculs de puissance : 
la puissance Dieme de I'identite ombragee J et la 
puissance pieme du temoin t. 

Si I'exposant p vaut 2 16 , alors I'exposant D est un 
nombre de 16 bits. Ainsi en un seul traitement, avec 
un facteur de securite de 2 16 , soit 65536, le verifie 
calcule dans I'anneau 16 carres, puis 16 carres et 
une moyenne de 8 multiplications. Le verificateur ne 
calcule que 16 carres et procede en moyenne a 8 
multiplications. 

Le procede d'authentification de message est 
illustre sur la figure 8 avec les rnemes conventions, la 
difference avec la figure 7 consistant uniquement 
dans la formation de la fonction de compression f. 

Pour signer un message, le detenteur de i'accre- 
ditation B de profondeur p commence par tirer au 
hasard un element r dans I'anneau puis calcule la 
puissance publique de I'element r(r p mod N). Puis il 
produit un exposant D grace a la fonction de 
compression f appliquee a la concatenation du 
message m et de la puissance publique de ('element 
r. Le temoin t est le produit de I'element r par ia 
puissance Dieme de ('accreditation B. Le message 
signe est la concatenation de I'identite I, du 
message m, de I'exposant d et du temoin t. 

Pour verifier une signature, le verificateur calcule 
dans I'anneau le produit du temoin t a la puissance p 
par I'identite ombragee J (reconstruite a partir de 
I'identite proclamee I) a la puissance D pour 
reconstituer ce qui doit etre !a puissance publique 
de I'element r. Enfin, le verificateur doit retrouver 
I'exposant D en appliqant la fonction f a la concate- 
nation du message m et de la puissance publique 
reconstitute. 

C'est ce qui est illustre sur la figure 9. 

Si p s'ecrit sur 64 bits quelconques, le signataire 
fait environ 192 multiplications dans I'anneau (il doit 
calculer successivement deux puissances avec des 
exposants de 64 bits sans pouvoir les combiner) 
pour mener a bien ('operation. Cette complexity est 
deja nettement inferieure a celle du procede RSA : 
768 multiplications en moyenne pour une exponen- 
tielle modulo un nombre compose sur 512 bits, et 
1536 pour un nombre compose sur 1024 bits. 



Si p s'ecrit sur 64 bits quelconques, le verificateur 
fait seulement environ 112 multiplications, car il 
combine ses operations en 64 carres et trois fois 16 
multiplications en moyenne, pour calculer d'un seul 
5 coup t p .J D mod N. II est heureux que I'authentifica- 
tion soit plus simple que ('elaboration de la signa- 
ture, car chaque signature est appelee a etre verifiee 
plusieurs fois. 

Mais, on peut choisir 2 64 (c'est-a-dire une "puis- 

10 sance de 2) comme exposant p pour simplifier les 
calculs, sans modifier la securite du systeme. 
L'elevation a la puissance p se fait alors par 64 
carres. L'exposant D est un nombre de 64 bits. La 
signature se fait alors en 160 multiplications. La 

15 verification d'une signature se traduit en moyenne 
par 96 multiplications dans I'anneau, soit 12,5% du 
RSA a 512 bits et 6,2% du RSA a 1024 bits. 

Dans le procede anterieur FS decrit plus haut, 
avec 64 accreditations multiples dans le meme carte, 

20 il faut un carre et une moyenne de 32 multiplications. 
Ainsi, la methode de ('invention a accreditation 
profonde, se paye par un surplus de calculs d'un 
facteur multiplicatif de I'ordre de 3. Quand, dans I'art 
anterieur, on se limite a 8 accreditations dans ia 

25 carte, avec 8 temoins dans la signature, (8 iterations 
a 5 multiplications, soit 40 multiplications), le rapport 
diminue encore un peu, en faveur de I'invention. 

Bien entendu, on peut aussi choisir 2 66 -M 
comme exposant public (c'est-a-dire un nombre 

30 impair). Au prix d'une seule multiplication supple- 
mentaire pour calculer une puissance publique, on 
leve ainsi certaines restrictions relatives aux residus 
quadratiques dans I'anneau (lorsque I'exposant p 
est pair, plusieurs elements de I'anneau pouvant 

35 corresponds a la racine pieme, mais un seul 
convenant). 

La figure 10 represente schematiquement un 
calculateur permettant de mettre en oeuvre rinven- 
tion. 

40 Le calculateur represente comprend une interface 
entrees-sorties ES, une unite centrale UC, une 
memoire programmable du type a lecture seulement 
(PROM), une memoire a lecture seulement (ROM) et 
une memoire a acces direct (RAM). Le calculateur 

45 comprend encore un organe G du type generateur 
de bruit ou generateur aleatoire. 

L'accreditation et ies informations d'identite ins- 
crites dans la memoire PROM inaccessibles de 
Texterieur. Les programmes sont inscrits dans la 

50 memoire ROM. La memoire RAM sert a stocker des 
resultats de calcul. Le generateur G est utilise pour 
les tirages au sort des divers nombres intervenant 
dans le procede (r, D). 

L'unite centrale et les memoires peuvent etre 

55 structurees comme le microcalculateur autopro- 
grammable monolithique decrit dans le brevet 
4,382,279 des Etats-Unis d'Amerique. 

La fonction de compression peut faire appel a 
I'algorithme DES (Data Encryption Standard). II 

60 existe une carte a puce, fabriquee par PHILIPS qui 
realise cet algorithme DES. 
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Revendications 



1. Procede d'authentification d'une accredi- 
tation a apport nul de connaissance, 

a) cette accreditation ayant ete elaboree par un 
procede du type a cte publique comprenant les 10 
operations suivantes : 

- une autorite habilitee a delivrer des accredita- 
tions choisit deux nombres premiers, forme le 
produit (N) de ces deux nombres, tient secrets 

ces nombres, choisit un entier p et publie N et 15 

p; 

- pour chaque detenteur d'une accreditation, 
une identite numerique I est constituee, puis 
completee par redondance pour former un mot 

J appele identite ombragee, 20 

- une accreditation A est elaboree par I'autorite 
en prenant la racine pieme de I'identite ombra- 
gee dans I'anneau des entiers modulo N 
(A = J 1/ Pmod N), 

- dans un support approprie contenant une 25 
mernoire, I'autorite charge ('inverse modulo N 

de I'accreditation A soit un nombre B appele 
accreditation inverse (B n J mod N = 1), ce 
nombre B constituant I'accreditation qu'il s'agit 
d'authentifier, 30 

b) I'authentification de I'accreditation ainsi 
elaboree, consistant en un processus numeri- 
que interactif et probabiliste du type a apport 
nul de connaissance et s'etablissant entre un 
support contenant une accreditation, support 35 
appele "le verifie" et un organe d'authentifica- 
tion appele "le verificateur", ce processus 
comprenant au moins un traitement numerique 
constitue par les operations connues sui- 
vantes : 40 

- le verifie tire d'abord au hasard un entier r 
appartenant a I'anneau des entiers modulo N, 

- le verifie eleve cet entier r a la puissance p 
modulo N, le resultat etant appele titre T, 

- le verifie delivre alors au moins une partie des 45 
bits du titre T t 

- le verificateur tire ensuite au hasard un 
nombre (d) et demande au verifie d'effectuer 
certaines operations sur r et sur ('accreditation 
inverse B, ces operations etant liees au nombre 50 
(d) tire au hasard par le verificateur et effec- 
tuees dans I'anneau des entiers modulo N, 

- le verifie delivre au verificateur un nombre t, 
appele temoin, resultat de ces operations, 

- le verificateur effectue a son tour des 55 
operations portant sur le temoin t delivre par le 
verifie et sur I'identite ombragee J du verifie, 
operations liees elles aussi au nombre d tire au 
hasard par le verificateur et effectuees dans 
I'anneau des entiers modulo N, SO 

- le verificateur compare le resultat ainsi obtenu 
avec les bits du titre T que le verifie a delivre en 
debut de processus de verification, et admet 
I'authenticite de I'accreditation s'il retrouve ces 

bits, 65 



ce procede etant caracterise par (e fait que : 

a) lors de I'elaboration de ('accreditation 
(B) le nombre p servant a extraire la racine 
p ieme de I'identite ombragee (J) est choisi 
grand et comprend au moins une dizaine 
de bits, 

b) pour i'authentification de I'accredita- 
tion le processus ne comprend qu'un seul 
traitement interactif et probabiliste (et non 
une repetition d'un tel traitement), ce 
traitement unique consistant dans les 
operations suivantes : 

- le nombre que !e verificateur tire au 
hasard est un entier D compris entre 0 et 
p-1 (bornesincluses), 

- ('operation que le verifie effectue pour 
delivrer un temoin t est le produit, dans 
I'anneau des entiers modulo N, de ('ele- 
ment r qu'il a lui meme tire au hasard, par la 
puissance Dieme de I'accreditation inverse 
B, le titre etant alors t = r.B D mod N t 

- les operations qu'effectue le verificateur 
sont te produit, dans I'anneau des entiers 
modulo N, de la puissance p ieme du 
temoin t par la puissance D ieme de 
I'identite ombragee J, soit t p J D mod N, 

- ('operation de comparaison effectuee 
par le verificateur porte alors sur les bits du 
titre T delivres par le verifie et sur les bits 
obtenus par I'operation precedente, I'au- 
thenticite de I'accreditation etant acquise 
en un seul traitement des lors que tous les 
bits du titre • delivre par le verifie sont 
retrouves par le verificateur dans t p J D mod 
N. 

2. Procede d'authentification d'un message, 
ce message provenant d'un donneur d'ordre 
cense etre accredite : 

a) I'accreditation d'un donneur d'ordre. consis- 
tant en un mot numerique B obtenu par un 
procede a cle publique comprenant les opera- 
tions suivantes : 

- une autorite habilitee a delivrer des accredita- 
tions choisit deux nombre premiers, forme le 
produit N de ces deux nombres, tient secrets 
ces deux nombres, choisit un entier p et publie 
N et p ? 

- pour chaque donneur d'ordre une identite 
numerique I est constituee puis completee par 
redondance pour former un mot J appele 
identite ombragee, 

- une accreditation A est elaboree par I'autorite 
en prenant la racine p ieme de I'identite 
ombragee J dans I'anneau des entiers modulo 
N, (A = J 1/p mod N), 

- dans un support approprie detenu par le 
donneur d'ordre I'autorite charge I'inverse mo- 
dulo N de I'accreditation A, soit un nombre B 
appele accreditation inverse (B p J mod N = 1), 
b) I'authentification d'un message (m) emis par 
un donneur d'ordre ainsi accredite consistant 
en un processus numerique interactif et proba- 
biliste du type a apport nul de connaissance et 
s'etablissant entre le support du donneur 
d'ordre cense accredite et appele "le verifie" et 
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un organe de verification appele "le verifica- 
teur", ce processus comprenant au moins un 
traitement numerique constitue par les opera- 
tions suivantes : 

- le verifie tire d'abord au hasard un entier r 5 
appartenant a I'anneau des entiers modulo N, 

- le verifie eleve cet entier r a la puissance p 
modulo N et calcule un resultat par une fonction 
de compression en prenant comme argument 

le message m et r p mod N, soit f(m, r p mod N), le 10 
resultat etant appele titre T, 

- le verifie delivre alors au moins une partie des 
bits de titre T, 

- le verificateur tire ensuite au hasard un 
nombre d et demande au verifie d'effectuer 15 
certains operations sur r et sur I'accreditation 
inverse B, ces operations etant liees au nombre 

d tire au hasard par le verificateur et etant 
effectuees dans I'anneau des entiers modulo N, 

- le verifie fournit au verificateur un nombre t, 20 
appele temoin, resultat de ces operations, 

- le verificateur effectue a son tour des 
operations portant sur le temoin t delivre par le 
verifie et sur I'identite ombragee J du verifie, 
operations liees elles aussi au nombre D tire au 25 
hasard par le verificateur et effectuees dans 
I'anneau des entiers modulo N, 

- le verificateur forme une fonction de compres- 
sion en prenant comme arguments le message 

a authentifier m et le resultat des operations 30 
precedentes, soit f(m, t, J), 

- le verificateur compare la fonction de com- 
pression obtenue avec le titre T que le verifie a 
delivre en debut de processus de verification, 

ce processus etant caracterise par ie fait que : 35 

a) lors de I'elaboration de ('accreditation 
du donneur d'ordre, le nombre p servant a 
extraire la racine p ieme de I'identite 
ombragee est choisi grand et comprend au 
moins une dizaine de bits, 40 

b) pour I'authentification du message, le 
processus ne comprend qu'un seul traite- 
ment interactif et probabiliste (et non une 
repetition d'un tel traitement), ce traite- 
ment unique consistant dans les opera- 45 
tions suivantes : 

- ie nombre que le verificateur tire au 
hasard est un entier D compris entre 0 et 
p-1 (bornes incluses), 

- ('operation que le verifie effectue pour 50 
delivrer le temoin t est le produit, dans 
I'anneau des entiers modulo N, de I'ele- 
ment r qu'il a lui meme tire, par la 
puissance Dieme de ('accreditation inverse 

B, le temoin etant alors r.B D mod N, 55 

- les operations qu'effectue le verificateur 
sont le produit, dans I'anneau des entiers 
modulo N, de la puissance p ieme du 
temoin t, par la puissance D ieme de 
I'identite ombragee J, 60 

- le verificateur forme la fonction de 
compression du message et du resultat 
des operations precedentes soit f(m, t p J D 
mod N), 

- ia comparaison que le verificateur effec- 65 



tue porte alors sur la fonction de compres- 
sion qu'il a obtenue et sur le titre T que le 
verifie lui a delivre en debut de processus 
de verification, I'authenticite du message 
etant acquise en un seul traitement des 
lors que, a ia fin de ce traitement, il y a 
correspondance entre tous les bits de ia 
fonction de compression obtenue par le 
verificateur et les bits du titre delivres par 
le verifie. 

3. Procede de signature d'un message par 
une entite, cette entite etant censee etre 
accreditee, 

a) I'accreditation d'une entite signataire de 
messages ayant ete elaboree par un procede a 
cle publique comprenant les operations sui- 
vantes : 

- une autorite habilttee a delivrer des accredita- 
tions choisit deux nombres premiers, forme le 
produit N de ces deux nombres, tient secrets 
les deux nombres premiers, choisit un entier p 
et publie N et p, 

- pour chaque entite signataire une identite 
numerique I est constitute puis completee par 
redondance pour former un mot J appele 
identite ombragee, 

- une accreditation A est elaboree par I'autorite 
en prenant la racine p ieme de ('identite 
ombragee J dans i'anneau des entiers modulo 
N (A = J 1/p modN), 

-dans un support approprie detenu par le 
signataire i'autorite charge I'inverse modulo N 
de I'accreditation A, soit un nombre B appele 
accreditation inverse (B p J mod N = 1 ), 
b) la signature d'un message m par un 
signataire d'identite I consistant en un traite- 
ment numerique probabiliste comprenant les 
operations suivantes : 

- le signataire tire au hasard au moins un entier r 
appartenant a I'anneau des entiers modulo N, 

- le signataire eleve cet entier r a la puissance p 
modulo N, 

- le signataire calcule une fonction de compres- 
sion f en prenant comme arguments le mes- 
sage m a signer et la puissance r p obtenue, 

- le signataire forme au moins un temoin t en 
effectuant certaines operations sur r et sur 

- I'accreditation inverse B, ces operations etant 
liees au nombre d tire au hasard et etant 
effectuees dans I'anneau des entiers modulo N, 

- le signataire transmet le message m, son 
identite I, le mot d, le ou les temoins t, 
I'ensemble constituant un message signe, 

ce procede etant caracterise par le fait que : 

a) lors de I'elaboration de I'accreditation 
du signataire le nombre p servant a extraire 
la racine p ieme de I'identite ombragee est 
choisi grand et comprend plusieurs di- 
zaines de bits, 

b) pour I'operation de signature du 
message : 

- le signataire ne tire au hasard qu'un seul 
entier r appartenant a I'anneau des entiers 
modulo N, 

- la fonction de compression a pour 
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arguments le message m et le puissance p 
ieme de r, ce qui fournit un nombre D, 

- le temoin unique produit par le signataire 
est le produit, dans I'anneau des entiers 
modulo N, de rentier r par la puissance D 5 
ieme de ('accreditation inverse B, 

- le signataire fournit, avec le message m, 
son identite I, le mot D et le temoin t. 

4. Systeme d'authentification d'une accredi- 
tation a apport nul de connaissance compre- 10 
nant, 

a) des moyens pour elaborer cette accredita- 
tion par un procede du type a cle publique, ces 
moyens comprenant : 

- chez une autorite habilitee a delivrer des 15 
accreditations des moyens pour choisir deux 
nombres premiers, pour former le produit (N) 

de ces deux nombres, pour tenir secrets ces 
nombres, pour choisir un entier p et pour 
publier N et p ; 20 

- des moyens pour constituer, pour chaque 
detenteur d'une accreditation, une identite 
numerique I et pour completer cette identite par 
redondance pour former un mot J appele 
identite ombragee, 25 

- des moyens pour elaborer une accreditation 
A, ces moyens etant aptes a prendre la racine 
pieme de I'identite ombragee dans I'anneau des 
entiers modulo N (A = J 1/p mod N), 

- un support approprie contenant une memoire, 30 
ou est charge Hnverse modulo N de I'accredita- 

tion A soit un nombre B appele accreditation 
inverse (B n J mod N = 1), ce nombre B consti- 
tuant I'accreditation qu'il s'agit d'authentifier, 
b) des moyens d'authentification de I'accredita- 35 
tion comprenant des moyens pour mettre en 
oeuvre un processus numerique interactif et 
probabiliste du type a apport nul de connais- 
sance et s'etablissant entre un support conte- 
nant une accreditation, support appele "le 40 
verifie" et un organe d'authentification appele 
"le verificateur", ces moyens comprenant : 

- un moyen dans le verifie pour tirer d'abord au 
hasard un entier r appartenant a I'anneau des 
entiers modulo N, 45 

- un moyen dans le verifie pour elever cet entier 
r a la puissance p modulo N, le resuitat etant 
appele titre T, 

- des moyens dans le verifie pour delivrer alors 

au moins une partie des bits du titre T, 50 

- des moyens dans ie verificateur pour tirer 
ensuite au hasard un nombre (d) et demander 
au verifie d'effectuer certaines operations sur r 
et sur I'accreditation inverse B, ces operations 
etant liees au nombre (d) tire au hasard par les 55 
moyens du verificateur et effectuees dans 
I'anneau des entiers modulo N, 

- des moyens dans le verifie pour delivrer au 
verificateur un nombre t, appele temoin, resuitat 

de ces operations, 60 

- des moyens dans le verificateur pour effectuer 
a son tour des operations portant sur le temoin 
t delivre par le verifie et sur I'identite ombragee 
J du verifie, operations liees elles aussi au 
nombre d tire au hasard par le verificateur et 65 



effectuees dans I'anneau des entiers modulo N, 
- des moyens dans le verificateur pour compa- 
rer le resuitat ainsi obtenu avec les bits du titre 
T que les moyens du verifie ont delivre en debut 
de processus de verification, et admettre 
('authenticate de I'accreditation s'il retrouve ces 
bits, 

ce systeme etant caracterise par le fait que : 

a) dans les moyens pour elaborer I'ac- 
creditation (B) les moyens pour choisir le 
nombre p servant a extraire la racine p 
ieme de I'identite ombragee (J) sont aptes 
a choisir un nombre grand comprenant au 
moins une dizaine de bits, . 

b) dans les moyens pour t'authentifica- 
tion de ('accreditation, les moyens sont 
aptes a n'effectuer qu'un seul traitement 
interactif et probabiliste (et non une repeti- 
tion d'un tel traitement), ces moyens 
consistant alors en : 

- des moyens pour que le nombre que le 
verificateur tire au hasard soit un entier D 
compris entre 0 et p-1 (bornes incluses), 

- des moyens dans le verifie pour delivrer 
un temoin t sont aptes a former le produit, 
dans I'anneau des entiers modulo N, de 
('element r tire au hasard, par la puissance 
Qieme de ('accreditation inverse B, le titre 
etant alors t = r . B° mod N , 

- des moyens dans le verificateur aptes a 
calculer le produit, dans I'anneau des 
entiers modulo N, de la puissance p ieme 
du temoin t par la puissance D ieme de 
I'identite ombragee J, soit t p J D mod N, 

- des moyens de comparaison dans le 
verificateur aptes a comparer les bits du 
titre T delivres par les moyens du verifie et 
sur les bits obtenus par I'operation prece- 
dente, I 'authenticity de I'accreditation 
etant acquise en un seul traitement des 
lors que tous les bits du titre delivre par le 
verifie sont retrouves par le verificateur 
dans t p J D mod N. 

5. systeme d'authentification d'un message, 
ce message provenant d'un donneur d'ordre 
cense etre accredite/ce systeme comprenant : 
a) des moyens disposes chez un donneur 
d'ordre pour former un mot numerique B 
obtenu par un procede a cle publique et 
comprenant les moyens suivants : 

- des moyens chez une autorite habilitee a 
delivrer des accreditations pour choisir deux 
nombre premiers, pour former le produit N de 
ces deux nombres, pour tenir secrets ces deux 
nombres, pour choisir un entier p et pour 
publier N et p, 

- des moyens pour constituer, pour chaque 
donneur d'ordre, une identite numerique I et 
pour completer par redondance cette identite 
pour former un mot J appele identite ombragee, 

- des moyens pour elaborer une accreditation A 
par I'autorite et pour prendre la racine p ieme de 
I'identite ombragee J dans I'anneau des entiers 
modulo N, (A = J 1/p mod N), 

- un support approprie detenu par le donneur 



11 



21 



EP 0 311 470 A1 



22 



d'ordre, I'autorite chargeant dans ce support 
I'inverse modulo N de I'accreditation A, soit un 
nombre B appele accreditation inverse (B p J 
modN = 1), 

b) des moyens d'authentification d*un message 
(m) emis par un donneur d'ordre ainsi accre- 
dits comprenant des moyens de mise en oeuvre 
d'un processus numerique interactif et probabi- 
liste du type a apport nul de connaissance et 
s'etabiissant entre le support du donneur 
d'ordre cense accredite et appele "le verifie" et 
un organe de verification appele "le verifica- 
teur", ces moyens comprenant : 

- des moyens dans le verifie pour tirer d'abord 
au hasard un entier r appartenant a I'anneau des 
entiers modulo N, 

- des moyens dans le verifie pour elever cet 
entier r a ta puissance p modulo N et calculer un 
resultat par une fonction de compression en 
prenant comme argument le message m et r p 
mod N, soit f(m, r p mod N), le resultat etant 
appele titre T, 

- des moyens dans le verifie pour delivrer alors 
au moins une partie des bits du titre T, 

- des moyens dans le verificateur pour tirer 
ensuite au hasard un nombre d et demande aux 
moyens du verifie d'effectuer certaines opera- 
tions sur r et sur I'accreditation inverse B, ces 
operations etant liees au nombre d tire au 
hasard par le verificateur et etant effectuees 
dans I'anneau des entiers modulo N, 

- des moyens dans le verifie pour fournir au 
verificateur un nombre t, appele temoin, resultat 
de ces operations, 

- des moyens dans le verificateur pour effectuer 
a son tour des operations portant sur ie temoin 
t delivre par tes moyens du verifie et sur 
I'identite ombragee J du verifie, operations liees 
elles aussi au nombre D tire au hasard par le 
verificateur et effectuees dans I'anneau des 
entiers modulo N, 

- des moyens dans le verificateur pour former 
une fonction de compression en prenant 
comme arguments le message a authentifier m 
et le resultat des operations precedentes, soit 
f(m, t, J), 

- des moyens dans le verificateur pour compa- 
rer la fonction de compression obtenue avec le 
titre T que le verifie a delivre en debut de 
processus de verification, 

ce systeme etant caracterise par le fait que : 

a) dans les moyens d'elaboration de 
('accreditation du donneur d'ordre, le nom- 
bre p servant a extraire la racine p ieme de 
I'identite ombragee est choisi grand et 
comprend au moins une dizaine de bits, 

b) dans les moyens d'authentification du 
message, les moyens sont aptes a mettre 
en oeuvre un processus qui ne comprend 
qu'un seul traitement interactif et probabi- 
liste (et non une repetition d'un tel traite- 
ment), ces moyens comprenant : 

- des moyens dans ie verificateur pour tirer 
au hasard un entier D compris entre 0 et 
p-1 (bornes incluses), 
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- des moyens dans le verifie pour delivrer le 
temoin t qui soit le produit, dans I'anneau 
des entiers modulo N, de I'element r qu'il a 
lui meme tire, par la puissance Dieme de 
I'accreditation inverse B, le temoin etant 
alors r.B D mod N, 

- des moyens dans verificateur pour effec- 
tuer le produit, dans I'anneau des entiers 
modulo N, de la puissance p ieme du 
temoin t, par la puissance D ieme de 
I'identite ombragee J, 

- des moyens dans le verificateur pour 
former la fonction de compression du 
message et du resultat des operations 
precedentes soit f (m, t p J D mod N) , 

- les moyens de comparaison dans le 
verificateur portant alors sur la fonction de 
compression que ies moyens du verifica- 
teur ont obtenue et sur le titre T que les 
moyens du verifie lui ont delivre en debut 
de processus de verification, I'authenticite 
du message etant acquise en un seul 
traitement des lors que, a la fin de ce 
traitement, il y a correspondance entre 
tous les bits de la fonction de compression 
obtenue par le verificateur et les bits du 
titre delivres par le verifie. 

6. Systeme pour signer un message par une 
entite, cette entite etant censee etre accredi- 
tee, ce systeme comprenant, 

a) des moyens pour elaborer une accreditation 
d'une entite signataire de messages, ces 
moyens mettant en oeuvre un procede a cle 
publique et comprenant : 

- des moyens chez une autorite habilitee a 
delivrer des accreditations pour choisir deux 
nombres premiers, pour former le produit N de 
ces deux nombres, pour tenir secrets les deux 
nombres premiers, pour choisir un entier p et 
pour publier N et p, 

- des moyens pour constituer, pour chaque 
entite signataire, une identite numerique I et 
pour completer par redondance cette identite 
pour former un mot J appele identite ombragee, 

- des moyens pour elaborer une accreditation A 
par I'autorite, ces moyens etant aptes a prendre 
la racine p ieme de I'identite ombragee J dans 
I'anneau des entiers modulo N (A = J 1/p mod 
N), 

- un support approprie detenu par la signataire 
ou I'autorite peut charger I'inverse modulo N de 
I'accreditation A, soit un nombre B appele 
accreditation inverse (B p J mod N = 1), 

b) des moyens pour constituer la signature d'un 
message m par un signataire d'identite I et 
comprenant : 

- des moyens chez le signataire pour tirer au 
hasard au moins un entier r appartenant a 
I'anneau des entiers modulo N, 

- des moyens chez le signataire pour elever cet 
entier r a la puissance p modulo N, 

- des moyens chez le signataire pour calculer 
une fonction de compression f en prenant 
comme arguments le message m a signer et la 
puissance r p obtenue, 
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- des moyens chez le signataire pour former au 
moins un temoin t en effectuant certaines 
operations sur r et sur ('accreditation inverse B, 
ces operations etant liees au nombre d tire au 
hasard et etant effectuees dans I'anneau des 
entiers modulo N, 

- des moyens chez le signataire pour transrnet- 
tre ie message m t son identite I, le mot d, le ou 
les temoins t, I'ensembte constituant un mes- 
sage signe, 

ce systeme etant caracterise par le fait que : 

a) dans les moyens d'elaboration de 
I'accreditation du signataire les moyens 
pour choisir le nombre p servant a extraire 
la racine p ieme de I'identite ombragee 
sont aptes a choisir un nombre grand 
comprenant plusieurs dizaines de bits, 

b) dans ies moyens pour I'operation de 
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signature du message : 

- les moyens du signataire ne tirent au 
hasard qu'un seul entier r appartenant a 
i'anneau des entiers modulo N, 

5 - les moyens de compression operent avec 

des arguments qui sont le message m et la 
puissance p ieme de r, ce qui fournit un 
nombre D, 

- les moyens pour produire le temoin 
10 unique par le signataire sont aptes a 

former le produit, dans I'anneau des en- 
tiers modulo N, de rentier r par la puis- 
sance D ieme de ('accreditation inverse B, 

- les moyens du signataire fournissent, 
15 avec le message m, sont identite I, le mot D 

et le temoin t. 
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